Mi è stato chiesto di compilare un elenco del numero di vulnerabilità o exploit Web pubblicati raggruppati per piattaforma.
Con la comprensione e l'avvertenza che i numeri sono solo statistiche, non dovrebbero essere usati per prevedere il futuro, sono totalmente ingiusti, peggio di bugie e maledette bugie, e probabilmente uccideranno il tuo gatto, ecc. ecc. : Questi numeri esistono ovunque? Come può essere compilato un elenco di questo tipo?
My attempt
I figured the CVE database was a good place to start; you can download their entire database in CSV format and then justgrep
it. Which seemed reasonable enough, except it appears that there isn't enough data in each row.For example, of the 59 CVEs this year that mention "Wordpress", there are 14 that don't contain the letters "php". So clearly grepping for "php" won't net the right result. Presumably neither will any of the others.
I dati non devono essere perfetti, devono solo essere ragionevolmente motivati (cioè non estratti dal proprio derriere ), e soprattutto la misura deve essere neutra (cioè, non dovrebbe ovviamente favoriscono o penalizzano qualsiasi piattaforma data), tranne nel caso in cui una piattaforma sia naturalmente più popolare di un'altra.
I numeri recenti (l'anno scorso, quest'anno, qualunque) sarebbero i migliori, ma qualunque cosa esista è ancora meglio.